今天小編分享的科技經驗:警惕!WordPress 插件成攻擊入口,管理員權限被盜,歡迎閲讀。
IT 之家 5 月 1 日消息,科技媒體 bleepingcomputer 昨日(4 月 30 日)發布博文,報道了一種針對 WordPress 網站的新型惡意軟體,偽裝成安全工具插件,誘導用户下載并安裝。
Wordfence 研究團隊警告稱,該惡意軟體能賦予攻擊者持續的訪問權限,允許他們執行遠程代碼并注入 JavaScript 腳本。更狡猾的是,它隐藏在插件儀表盤之外,讓用户難以察覺其存在。
該惡意軟體一旦激活,立即通過 "emergency_login_all_admins" 功能為攻擊者提供管理員權限。攻擊者只需輸入明文密碼,即可獲取數據庫中首個管理員賬户的控制權,登錄網站後台。
Wordfence 團隊在 2025 年 1 月末的一次網站清理中首次發現該惡意軟體。他們注意到 "wp-cron.php" 檔案被篡改,用于創建并激活名為 "WP-antymalwary-bot.php" 的惡意插件。
IT 之家援引博文介紹,此外該惡意軟體還會創建 "addons.php"、"wpconsole.php"、"wp-performance-booster.php" 和 "scr.php" 等惡意插件。
即使管理員删除這些插件,"wp-cron.php" 會在下一次網站訪問時自動重新生成并激活它們。由于缺乏伺服器日志,研究人員推測感染可能源于被盜的主機賬户或 FTP 憑據。
該惡意插件不僅竊取管理員權限,還通過自定義 REST API 路由插入任意 PHP 代碼到網站的 "header.php" 檔案中,清除插件緩存,并執行其他命令。
最新版本甚至能将 base64 編碼的 JavaScript 注入到網站的 "" 部分,可能用于向訪客推送廣告、垃圾信息或将其重定向到不安全網站。
